Modélisation d'un réseau informatique selon le vade mecum du gestionnaire d'une institution d'enseignement supérieur et universitaire en RDC

I.1.2. Système d'information

Un système est un ensemble d'éléments organisés autour d'un but, et dont la modification d'un constituant entraîne la modification d'une section, ou de l'ensemble des constituants. Au niveau d'une organisation au sens large, le système d'informations est l'ensemble des moyens (humains, techniques, et organisationnels) qui permettent de gérer cette organisation en mettant à la disposition de chacun les informations nécessaires à la bonne exécution du travail (O. Masivi, 2008).

Un système d'information a deux fonctions principales qui sont : le stockage de l'information et son traitement. De ce fait, le système d'information aide le système physique de l'entreprise (c'est à dire les ressources humaines et techniques) à mieux gérer les opérations au sein de celle-ci et aussi avec ses clients ainsi qu'avec tous les acteurs externes.

(KM, Les niveaux de contrôle des données du système d'information, (en ligne) disponible sur http://phortail.org/webntic/Evolution-du-systeme-d-information.html.)

Dans le cadre de ce travail, nous y ajoutons une troisième fonction : la communication des informations.

Le Système automatisé d'information (SAI) est un sous-ensemble du système d'information dont les événements ou informations en entrée permettent de déterminer par programmes les événements ou informations conséquents.

L'intérêt de ce schéma est de présenter les grands ensembles de traitements et d'informations qui seront manipulées par le S.A.I.

Le S.A.I. peut être décomposé en sous-systèmes. Ces derniers pouvant être peu dépendants :

ou fortement dépendants car ils peuvent partager le même système de conservation des informations.

I.1.3. La sécurité du système d'information

L'objectif de la sécurité des systèmes d'information est de garantir qu'aucun préjudice ne puisse mettre en péril la pérennité de l'entreprise. Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour à un fonctionnement normal à des coûts et des délais acceptables en cas de sinistre.

La sécurité ne permet pas directement de gagner de l'argent mais évite d'en perdre. Ce n'est rien d'autre qu'une stratégie préventive qui s'inscrit dans une approche d'intelligence économique. Pour ce qui concerne les données et les logiciels, la sécurité informatique implique qu'il faille assurer les propriétés suivantes:

la confidentialité (aucun accès illicite): maintien du secret de l'information et accès aux seules entités autorisées;

l'intégrité (aucune falsification): maintien intégral et sans altération des données et programmes;

l'exactitude (aucune erreur);

la disponibilité (aucun retard): maintien de l'accessibilité en continu sans interruption ni dégradation;

la pérennité (aucune destruction): les données et logiciels existent et sont conservés le temps nécessaire;

la non-répudiation (aucune contestation).

(S. Ghernaouti-Hélie, Stratégie et protection des systèmes d'information, (en ligne) disponible sur http://ditwww.epfl.ch/SIC/SA/publications/FI00/fi-sp-00/sp-00-page20.html)

Ces propriétés, en fonction de la valeur des ressources et de leur cycle de vie, doivent être garanties par des mesures de sécurité. Celles-ci, sont mises en oeuvre au travers d'outils particuliers, de procédures adaptées et de personnes. Elles sont gérées et validées par des procédures de gestion. La sécurité repose donc sur un ensemble cohérent de mesures, procédures, personnes et outils.

La mission de la sécurité se résume en cinq types d'actions génériques, à savoir: définir le périmètre de la vulnérabilité lié à l'usage des technologies de l'information et de la communication;

offrir un niveau de protection adapté aux risques encourus par l'entreprise;

mettre en oeuvre et valider l'organisation, les mesures, les outils et les procédures de sécurité;

optimiser la performance du système d'information en fonction du niveau de sécurité requis;

assurer les conditions d'évolution du système d'information et de sa sécurité. (xxxx, Définition des besoins en terme de sécurité informatique, (en ligne) disponible sur http://www.commentcamarche.net/contents/secu/securite-besoins.php3)

L'efficacité de la sécurité d'un système d'information ne repose pas uniquement sur les outils de sécurité mais également sur une stratégie, une organisation et des procédures cohérentes. Cela nécessite une structure de gestion adéquate dont la mission est de gérer, mettre en place, valider, contrôler et faire comprendre à l'ensemble des acteurs de l'entreprise l'importance de la sécurité. Elle détermine également le comportement, les privilèges, les responsabilités de chacun. Elle spécifie, en fonction de facteurs critiques de succès qui permettent d'atteindre les objectifs de l'entreprise, les mesures et directives sécuritaires appropriées.

Le choix des mesures de sécurité à mettre en place au sein des organisations, résulte généralement d'un compromis entre le coût du risque et celui de sa réduction. Il dérive de l'analyse à long, moyen et court termes des besoins et des moyens sécuritaires.

Les interrogations suivantes sont à prendre en considération pour réaliser une démarche sécurité. Quelles sont les valeurs de l'entreprise? Quel est leur niveau de sensibilité ou de criticité? De qui, de quoi doit-on se protéger? Quels sont les risques réellement encourus? Ces risques sont-ils supportables? Quel est le niveau actuel de sécurité de l'entreprise? Quel est le niveau de sécurité que l'on désire atteindre? Comment passer du niveau actuel au niveau désiré? Quelles sont les contraintes effectives? Quels sont les moyens disponibles?

S. Ghernaouti-Hélie, Stratégie et protection des systèmes d'information, (en ligne) disponible sur http://ditwww.epfl.ch/SIC/SA/publications/FI00/fi-sp-00/sp-00-page20.html

C'est ainsi que, pour réaliser toute politique de sécurité, il faut identifier:

les contraintes techniques et organisationnelles afin de déterminer la faisabilité technique et organisationnelle de la politique de sécurité pour chaque cible;

les ressources, les connexions, les mécanismes de sécurité inhérents et applicables (configuration, paramètres, gestion des utilisateurs, etc.), les risques et leurs scénarios

possibles (erreur d'utilisation, de paramétrage, accidents, malveillance, sabotage,

attaque logique, etc.).

La bonne réalisation d'une politique de sécurité permet au mieux de maîtriser les risques informatiques, tout en réduisant leur probabilité d'apparition. Toutefois, il ne faut pas perdre de vue que même un bon gestionnaire de la sécurité, tout en anticipant et prévenant certains accidents volontaires ou non, n'est pas devin. L'on évoque couramment l'intégrité des données, moins souvent celle des hommes. Nul service de sécurité, aussi

perfectionné soit-il, ne tient si l'intégrité des administrateurs, responsables réseau, hommes systèmes ou utilisateurs se trouvent mises en cause. Ne perdons pas de vue que le maillon faible de la sécurité est l'homme.